Mae Kubernetes yn dod gyda hyblygrwydd, nid diogelwch, fel ei osgo rhagosodedig. Pob porthladd agored, rôl RBAC caniatáol, a phod heb gyfyngiad yw gwahoddiad. Caletáu clwstwr yw cau'r bylchau hynny yn systematig heb dorri'r llwythi gwaith sy'n dibynnu arnynt. Nid ymarfer rhestr wirio yw hyn—mae'n ddisgybliaeth parhaus sy'n effeithio ar haenau hunaniaeth, rhwydwaith, llwyth gwaith, a chadwyn cyflenwi.
Cloi'r Awyren Rheoli Yn Gyntaf
Y gweinydd API yw'r targed unigol mwyaf gwerthfawr mewn unrhyw glwstwr. Dechrau drwy analluogi dilysu dienw a gorfodi dulliau dilysu cryf—mae integreiddiad OIDC gyda'ch darparwr hunaniaeth yn well na thocynnau statig neu dystysgrifau cleientiaid nad ydynt byth yn dod i ben. Cyfyngu ar fynediad i'r siop ddata etcd, gan ei fod yn dal pob cyfrinach a gwrthrych ffurfweddu mewn testun plaen oni bai bod amgryptiad ar weddill wedi'i alluogi. Galluogi amgryptiad ar gyfer cyfrinachau gan ddefnyddio darparwr KMS yn hytrach na dibynnu ar amgodio base64, sy'n cynnig dim amddiffyniad go iawn. Dylid troi ar logio archwilio o ddiwrnod un; heb hynny, nid oes gennych drac fforensig pan fydd rhywbeth yn mynd o'i le.
RBAC: Dim ond y Fraint Lleiaf, Nid Hwylustod
Y camffurfweddiad mwyaf cyffredin mewn clystyrau cynhyrchu yw rhwymiadau RBAC rhy eang—cluster-admin wedi'i ganiatáu i gyfrif gwasanaeth sydd angen dim ond darllen podiau mewn un enw-ofod. Adeiladu rolau o amgylch swyddogaethau swydd gwirioneddol a'u ystod i enw-ofodau lle y bo hynny'n bosibl. Osgoi ferf a adnoddau gwylltir yn bendiffiniadau Role a ClusterRole. Archwilio rhwymiadau yn rheolaidd gyda thynnau fel kubectl auth can-i --list neu rbac-lookup i ddal creep braint. Mae cyfrifon gwasanaeth yn haeddu'r un gwrthdroad â defnyddwyr dynol—analluogi awtomontio tocynnau cyfrif gwasanaeth ar gyfer podiau nad oes angen mynediad API arnynt.
Diogelwch Pod: Tybio Compromis
Mae Pod Security Admission (a ddisodlwyd y PodSecurityPolicy anghywir) yn eich galluogi i orfodi proffeiliau llinell sylfaen neu gyfyngedig ar lefel enw-ofod. Ar y lleiafswm, gwahardd cynwysyddion preintiedig, rhannu enw-ofod ostail, a raddfa braint. Gosod runAsNonRoot: true a gollwng holl alluoedd Linux yn ddiofyn, gan ychwanegu dim ond yr hyn sy'n ofynnol yn benodol. Mae ffeil-systemau gwreiddyn darllen-yn-unig yn atal ymosodwyr rhag ysgrifennu deuaidd maleisus i gynwysydd sy'n rhedeg. Mae'r rheoliadau hyn yn bwysig oherwydd na ddylai diane cynwysydd na niwed cymhwysiad a ddefnyddir gyfieithu i gompromis llawn nod.
Nid Polisïau Rhwydwaith yn Ddewisol
Yn ddiofyn, gall pob pod mewn clwstwr Kubernetes siarad â phob pod arall. Mae'r model rhwydwaith fflat hwnnw yn freuddwyd symudiad ochrol ar gyfer ymosodwyr. Gweithredu adnoddau NetworkPolicy i orfodi rhybudd rhagosodedig ingress ac egress, yna caniatáu'n benodol dim ond y llif traffig y mae angen eich cymhwysiadau arno. Mae hyn yn gofyn am chwip-ni CNI sy'n cefnogi'r gorfodi NetworkPolicy mewn gwirionedd—mae Calico, Cilium, ac eraill yn llenwi'r rôl hon oherwydd nad yw'r model rhwydwaith Kubernetes sylfaen yn gorfodi dim byd ar ei ben ei hun. Mae segmentu enw-ofodau yn ôl ffin ymddiriedaeth a haenau polisïau ar ei ben yn rhoi amddiffyniad gwirioneddol in-depth i chi.
Delwedd a Thegwch Cadwyn Cyflenwi
Nid yw caletáu yn stopio wrth ffurfweddiad amser gweithredu—mae'n dechrau gyda'r hyn a ddatblygwch. Sganiwch ddelweddau cynwysydd am agendorau hysbys cyn iddynt gyrraedd eich cofrestr, a gorfodi mai dim ond delweddau wedi'u llofnodi a dilysu yn unig all redeg yn eich clwstwr gan ddefnyddio rheolyddion mynediad fel Kyverno neu OPA Gatekeeper. Pinnwch daglau delwedd i ddeisiau yn hytrach na thagiau cariadwy fel latest, a allai newid yn dawel tanoch. Cyfyngu ar ba gofrestrau y caniateir i fodiau dynhau ohonynt, cau llwybr cyffredin ar gyfer ymosodiadau cadwyn cyflenwi lle mae delweddau wedi'u diwygio neu dyposquatted yn llithro i gynhyrchu.
Rheoli Cyfrinachau Tu Hwnt i Ddiofynion Kubernetes
Mae Kubernetes Secrets brodorol yn well na dim, ond nid ydynt yn datrysiad rheoli cyfrinachau go iawn. Ystyried integreiddiad rheolwr cyfrinachau allanol—Vault, AWS Secrets Manager, neu debyg—ac chwistrellu cyfrinachau adeg rhedeg yn hytrach na'u storio fel gwrthrychau clwstwr. Os rhaid i chi ddefnyddio Cyfrinachau brodorol, sicrhewch fod amgryptiad etcd wedi'i alluogi ac mae RBAC yn cyfyngu'n dynn ar fynediad darllen, oherwydd gall unrhyw did neu ddefnyddiwr gyda chaniatâd get ar gyfrinachau mewn enw-ofod exfiltrate credinyddau.
Dilysu Parhaus, Nid Trefniant Untro
Mae ffurfweddiad caletáu yn symud dros amser wrth i lwyth gwaith newydd gael eu datblygiad a phrioriti yn symud tuag at gyflymder dros diogelwch. Offer fel kube-bench yn gwirio cydymffurfiad yn erbyn Cymhwirebwch Kubernetes CIS, tra gall kube-hunter efelychu arolygiad ymosodwyr yn erbyn eich clwstwr. Pobi'r gwiriadau hyn i mewn pibellinau CI/CD er mwyn i gamffurfweithadu gael eu dal cyn iddynt gyrraedd cynhyrchu yn hytrach na thrwy alwad ymateb i ddigwyddiad.
Mae caletáu Kubernetes yn llai am reolaeth arian-bwlét sengl ac yn fwy am haenau amddiffynfa ar draws hunaniaeth, rhwydwaith, llwyth gwaith, a chadwyn cyflenwi—fel na fydd methiant mewn un haen yn dirywio i gompromis llawn. Am ragor ar batrymau diogelwch seilwaith cymylau ac offer amddiffynnol, archwilliwch segmentau cysylltiedig ar gynlluniau llwyfan DEFENSE_GRID Korra Studio.